Blog of Khlebalin Dmitriy

(Записки из мира IT…)

Перестал работать VPN на isa 2006.

Несколько дней назад обнаружили такую проблему на нашем ISA 2006. «Отвалился» VPN. При том отвалился достаточно странно. Если открыть журнал, то все службы запущены

И все вроде бы работает, при том соединения Site to Site как бы тоже активны. Но при подключении клиентом VPN например из дома получаем «отлуп».

Проверяем telnet ip_address _isa  1723 получаем «отлуп». По какой то причине ISA перестала слушать VPN порт, а вот по какой, вот это большой вопрос?

Около 4х месяцев сервак простоял безпроблемно и отработал как швейцарские часы и тут такой «косяк».

Начали разбираться в проблеме:

Перечитали множество публикаций, посетили массу форумов, например, здесь:

http://social.technet.microsoft.com/Forums/ru-RU/isaru/thread/558146c7-29b5-4b08-9510-75c14c5b175a

здесь

http://forum.windowsfaq.ru/showthread.php?t=103041

здесь

http://sysadmins.ru/post8046168.html

ну и еще масса различных.

Два дня «плясали с бубном» и со службой  RRAS играли и обновления удаляли устанавливали и ключи реестра правили. Не выходит каменный цветок и все тут.

В итоге быстренько переставили саму ISA на серваке и после перезагрузки проблема сразу пропала. Мой добрый совет, при возникновении такой ошибки, проще переставить ISA сразу и не заморачиваться. Наше время оказалось потраченным зря.

Если есть другие рабочие варианты решения данной проблемы, пишите в комментарии. Предложения типа поставьте UNIX или Linux и будет вам счастье в данном случае просьба не присылать:)

Всем удачной работы !!!

17.05.2012 Posted by | ms isa 2006 | Комментарии к записи Перестал работать VPN на isa 2006. отключены

Анализатор логов аля фильтр http\https трафика ISA\TMG.

Немного из истории…

В рамках последнего проекта нам так и не удалось перейти на ТМГ. Три раза полностью разворачивал ТМГ на виртуаках, два раза в продакшин среде, по разным причинам нам так и не удалось оставить данный продукт в эксплуатации (то сервер физически «умер», то после установки sp2 для ТМГ что-то пошло не так), наверно время еще не пришло. Поэтому на текущий момент решили остановиться на связке win2003std+isa2006std, что собственно и сделали.

Но все настроив мне в голову в очередной раз закралась мысль о том, как бы анализировать логи да и фильтровать сайты (этот механизм очень удачно реализован в продукте Kerio Control, подробней можно прочесть здесь: http://www.kerio.ru/ru/control), керио интересный продукт, но и он имеет свои недостатки, которые по прежнему заставляют отдать свое предпочтение продукту ISA\TMG, подробно можно прочесть, например, здесь: http://technet.microsoft.com/ru-ru/library/ff355324.aspx).

Прочитав массу форумов, статей и прочего материала в инете, пришел к неутешительному выводу, что НОРМАЛЬНОГО анализатора ЛОГОВ  аля фильтра http\https трафика  для ISA\TMG не существует.

В качестве кандидатов были выбраны следующие продукты:

1). SurfCop (http://www.redline-software.com/rus/products/surfcop/)

Неплохой продукт на первый взгляд, пока тестировали на 5ти пользователях все работало как часы, но запустив в продакшн среду на 150 пользователей ISA стала колом (точней не ISA а интернет, причина так и осталась неизвестной), мы были в шаге от приобретения лицензии, но вовремя одумались.

2). Internet Access Monitor (http://www.redline-software.com/rus/products/iam/)

Неплохая штука, но только анализатор логов и все. Резать сайты не умеет или у меня так и не получилось.

3) Traffic Inspector fof ISA server (http://www.smart-soft.ru/?page=tisol_other)

Не совсем понял, как в связке работают эти продукты, сложилось впечатление, что ISA работает сама по себе, а traffic inspector сам по себе. Как то не удовлетворим меня данный продукт.

4) Как вариант сама ISA, но в этом случае обязателен вариант использования прокси (например, 3128 или 8080) на клиентских машинах или использование клиента ISA, что практически то же самое. Неплохой вариант, я когда-то в 2004 версии пользовался им, но настройка  достаточно не гибкая и доги достаточно неинформативны. До сих пор не могу понять, что мешает в новой версии ТМГ сделать то же самое, что в Kerio, тогда цены бы не было данному продукту.

Уже почти отчаявшись, решил, наконец, попробовать еще один продукт

5) GFI Webmonitor 2009/2011 (http://www.gfi.ru/webmonitor)

На текущий момент данное решение показалось мне самым лучшим из всех вышеперечисленных продуктов. Прост в установке, прост в настройке отлично все логирует и режет сайты. Конечно и здесь я нашел для себя несколько минусов: цена вопроса, нет возможности ограничить скорость для айпишника, не показывает никак торренты (можно конечно жестко закрыть UDP, но это не очень хорошо для телефонии, об этом пожже), интернет радио, что собственно логично, если на ISA все пущены через NAT а не через PROXY, то для каждого айпишника придется создать свое правило, а если компов в сети много, то это не очень хорошо, ну прокси позволяет это исправить и пользоваться аутентификацией по пользователям и группам. Позволяет гибко настроить правила для различных пользователей или групп. В общем, триальный период эксплуатации пролетел на ура. На данный момент я склонен остановиться на данном продукте.

Ну и конечно же не стоит забывать о таком монстре как

6) SurfControl (http://surfcontrol.ru/products/web/)

 На мой взгляд, это конечно самый дорогой, но и самый интересный продукт. Большим недостатком является то, что поддержка данного продукта на сегодняшний день прекращена, и последняя версия 5.5 sp3 поддерживает только isa2006 и для TMG ее просто нет. На сегодняшний день я так и не приступил к тестированию данного продукта, обязательно планирую его прикрутить в следующем году.

В общем, выбор за вами.

Всем удачи в работе!!!

29.12.2011 Posted by | ms isa 2006 | Комментарии к записи Анализатор логов аля фильтр http\https трафика ISA\TMG. отключены

Создание VPN по схеме Site-to-Site с помощью Мастера настройки соединения с филиалом сервера ISA 2006 (Часть 14).

Создание удаленного узла в филиале

С главным офисом работа закончена, переходим к настройке ISA-сервера филиала. Вначале создадим сеть удаленного узла в филиале.

Для создания сети удаленного узла в филиале выполните следующее:

  1. Откройте консоль управления Microsoft Internet Security and Acceleration Server 2006 и раскройте в ней имя сервера. Щелкните по узлу Virtual Private Networks (VPN).
  2. Выберите вкладку Remote Sites (Удаленные узлы) панели Details (Подробно). В панели задач выберите вкладку Tasks (Задачи). Нажмите Add Remote Site Network (Добавить сеть удаленного узла).
  3. На странице Welcome to the Create VPN Site to Site Connection Wizard (Начало работы мастера создания VPN-соединения по схеме Site-to-Site) введите в поле Site to site network name (Имя сети) имя для удаленной сети. В нашем примере это Main. Нажмите Next (Далее).

На странице VPN Protocol (Протокол VPN) вы можете выбрать использование нескольких протоколов VPN. В нашем примере для VPN-соединения мы будем использовать общие ключи, что поможет при внедрении сертификатов после установления туннелей L2TP/IPSec. Выберите Layer Two Tunneling Protocol (L2TP) over IPSec (Протокол L2TP поверх IPSec). Нажмите Next (Далее).

Появится диалоговое окно, в котором сообщается, что вам нужно создать учетную запись пользователя на ISA-сервере филиала. Эта учетная запись будет использоваться ISA-сервером главного офиса для аутентификации ISA-сервера филиала при попытке главного офиса создать VPN-соединение с филиалом.
Учетная запись обязательно должна иметь то же имя, что и сеть удаленного узла, которую мы создаем. Это имя указывается на первой странице мастера, и, поскольку в нашем примере сеть называется Main, то и учетная запись, которую мы создаем на ISA-сервере филиала, должна иметь имя Main. Данная запись должна иметь права на удаленный коммутируемый доступ. Ниже мы разберем процесс создания данной учетной записи более подробно. Нажмите OK.

На странице Connection Owner (Владелец соединения) выберите, какой компьютер из массива будет отвечать за это VPN-соединение. Данный параметр активен только в версии ISA Enterprise Edition, а не в Standard Edition. Если ваш массив использует балансировку нагрузки, то вам не нужно назначать владельца соединения вручную, поскольку встроенный процесс балансировки во включенном состоянии автоматически назначает владельца.
В нашем примере мы не используем балансировку в массиве главного офиса (в одной из будущих статей я расскажу, как это делать), а наш массив состоит только из одного члена – это ISA-сервер версии Enterprise Edition главного офиса. Поэтому, мы используем параметр по умолчанию и нажимаем Next (Далее).

На странице Remote Site Gateway (Шлюз удаленного узла) введите IP-адрес или полностью определенное доменное имя FQDN внешнего интерфейса ISA-сервера главного офиса. В нашем примере мы используем имя FQDN main.msfirewall.org, которое нужно ввести в текстовое поле. Нажмите Next (Далее).
Рисунок 5

На странице Remote Authentication (Удаленная аутентификация) отметьте параметр Local site can initiate connections to remote site using these credentials (Локальный узел может инициировать соединения с удаленным узлом, используя эти учетные данные). Введите имя учетной записи, которую вы создали на ISA-сервере главного офиса для разрешения доступа ISA-серверу филиала. В нашем примере это учетная запись Branch (имя учетной записи должно совпадать с именем интерфейса по требованию, созданного на удаленном узле). ISA-сервер филиала использует эту запись для аутентификации на ISA-сервере главного офиса при создании VPN-соединения.
Поле Domain (Домен) – это имя ISA-сервера главного офиса, в нашем примере это ISA2006SE (если бы удаленный сервер ISA Server 2006 был контроллером домена, то вместо имени компьютера необходимо было бы использовать имя домена). Введите пароль для учетной записи и подтвердите его. Нажмите Next (Далее).

На странице L2TP/IPSec Outgoing Authentication (Аутентификация L2TP/IPSec) выберите метод аутентификации вашего компьютера на ISA-сервере филиала. В нашем примере мы используем опцию Pre-shared key authentication (Аутентификация с помощью общего ключа). В поле Pre-shared key (Общий ключ) введите общий ключ. Убедитесь, что это тот же самый ключ, который используется на ISA-сервере главного офиса. Нажмите Next (Далее).

На странице Network Addresses (Сетевые адреса) нажмите Add Range (Добавить диапазон). В диалоговом окне IP Address Range Properties (Свойства диапазона IP-адресов) в поле Starting address (Начальный адрес) введите 10.0.0.0. В поле Ending address (Конечный адрес) введите 10.0.0.255. Нажмите OK.

На странице Network Addresses (Сетевые адреса) нажмите Next (Далее).

На странице Remote NLB (Удаленная балансировка нагрузки) вы указываете, использует ли ISA-сервер главного офиса балансировку нагрузки. Если балансировка используется, отметьте пункт The remote site is enabled for Network Load Balancing (На удаленном узле используется балансировка нагрузки). Затем необходимо добавить выделенные IP-адреса массива балансировки в главном офисе с помощью кнопки Add Range (Добавить диапазон).
Мы не используем балансировку в главном офисе, поэтому снимаем отметку с параметра The remote site is enabled for Network Load Balancing (На удаленном узле используется балансировка нагрузки). В одной из следующих статей я расскажу, как создавать VPN с включенной функцией балансировки нагрузки. Нажмите Next (Далее).

На странице Site to Site Network Rule (Сетевое правило для схемы site-to-site) вы можете настроить сетевое правило, с помощью которого будут соединяться главный офис и филиал. Помните, что ISA-серверу для соединений сетей ISA-серверов всегда требуется сетевое правило. Даже если вы создадите сети и правила доступа, соединения не будут работать до тех пор, пока вы не создадите сетевое правило.
Выберите пункт Create a Network Rule specifying a route relationship (Создать сетевое правило, указав отношения маршрутизации) и примите установки по умолчанию. Обратите внимание, что у вас есть возможность вручную создать сетевое правило позже (опция I’ll create a Network Rule later (Я создам сетевое правило позже)). Заметьте, что по умолчанию отношения маршрутизации устанавливаются между сетями ISA-серверов главного офиса и филиала. Это лучший выбор, поскольку так вы получаете гораздо больший диапазон доступа протоколов при использовании отношений маршрутизации.
Отношения маршрутизации в филиале должны совпадать с отношениями маршрутизации в главном офисе.
Нажмите Next (Далее).

На странице Site to Site Network Access Rule (Сетевое правило доступа для схемы site-to-site) вы можете настроить правило доступа, разрешающее соединения между филиалом и главным офисом.
У вас есть возможность не создавать правило доступа, выбрав параметр I’ll change the Access Policy later (Я изменю политики доступа позже).
При выборе опции Create an allow Access Rule. This rule will allow traffic between the Internal Network and the new site to site Network for all users (Создать разрешающее правило доступа. Это правило будет разрешать трафик между внутренней и новой сетями для всех пользователей) у вас появится три варианта выбора из выпадающего списка Apply the rule to these protocols (Применить правило к этим протоколам). Варианты таковы:
All outbound traffic (Весь исходящий трафик)
Selected protocols (Выбранные протоколы)
All outbound traffic except selected (Весь исходящий трафик, кроме выбранного).
В нашем примере мы разрешим все протоколы. Позже я покажу, как можно использовать аутентификацию на основе пользователей/групп для контроля пользователей филиала, которым разрешено соединяться с главным офисом. Это важный ключевой момент, поскольку пользователи филиала должны иметь крайне ограниченный доступ к ресурсам главного офиса. Им нужен доступ только к серверам и протоколам, необходимым для работы, а также они должны проходить принудительную аутентификацию до того, как получить доступ к сети главного офиса.
Выберите параметр All outbound traffic (Весь исходящий трафик) и нажмите Next (Далее).

На странице Completing the New Site to Site Network Wizard (Завершение работы мастера создания новой сети по схеме Site-to-Site) нажмите Finish (Завершить).

В диалоговом окне Remaining VPN Site to Site Tasks (Оставшиеся задачи по созданию VPN-соединения по схеме Site-to-Site) появится информация о том, что вам нужно создать учетную запись пользователя с именем Branch. Мы сделаем это в следующей главе. Нажмите OK.

Ознакомьтесь с политикой, созданной мастером VPN и нажмите Apply (Применить) для сохранения изменений, а затем в диалоговом окне Apply New Configuration (Применить новые настройки) нажмите OK.

Не забудьте подтвердить назначение адресов для клиентов и шлюзов VPN таким же образом, как вы делали в главном офисе. Если ISA-сервер не может назначать IP-адреса удаленному шлюзу, соединение работать не будет. Помимо этого, не забудьте настроить интерфейс входящих соединений по запросу на отключение регистрации в DNS, как мы это делали в первой части для сервера главного офиса.

Создание учетной записи для входящих соединений VPN-шлюза в филиале

Мы должны создать учетную запись пользователя, которую ISA-сервер главного офиса сможет использовать для аутентификации при инициализации VPN-соединения. Данная учетная запись должна иметь то же имя, что и интерфейс входящих соединений по запросу ISA-сервера филиала.

Для создания учетной записи выполните следующее:

  1. Правой кнопкой щелкните по значку My Computer (Мой компьютер) на Рабочем столе и выберите Manage (Управление).
  2. В консоли Computer Management (Управление компьютером) раскройте узел Local Users and Groups (Локальные пользователи и группы). Правой кнопкой щелкните по узлу Users (Пользователи) и выберите New User (Новый пользователь).
  3. В диалоговом окне New User (Новый пользователь) введите имя интерфейса для входящих соединений главного офиса. В нашем примере это имя Main, его и введите в текстовое поле. Введите и подтвердите пароль в поле Password (Пароль). Запишите или запомните этот пароль, поскольку он понадобится при настройке VPN-шлюза. Снимите отметку с поля User must change password at next logon (Пользователь должен изменить пароль при следующей регистрации). Отметьте параметры User cannot change password (Пользователь не может изменять пароль) и Password never expires (Срок действия пароля не истекает). Нажмите Create (Создать).
  4. В диалоговом окне New User (Новый пользователь) нажмите Close (Закрыть).
  5. Дважды щелкните по пользователю Main в правой части консоли.
  6. В диалоговом окне Main Properties (Свойства пользователя Main) выберите вкладку Dial-in (Входящие соединения). Выберите Allow access (Разрешить доступ). Нажмите Apply (Применить), а затем OK.

Активация каналов

Теперь оба ISA-сервера, в главном офисе и филиале, настроены в качестве VPN-маршрутизаторов, и мы можем протестировать наше соединение.

Для проверки выполните следующее:

  1. На компьютере удаленного клиента за ISA-сервером филиала нажмите Start (Пуск), затем Run (Выполнить).
  2. В диалоговом окне Run (Выполнить) введите команду cmd и нажмите OK.
  3. в командной строке введите ping –t 10.0.0.2 и нажмите ENTER
  4. Вы увидите несколько сообщений о превышении периода ожидания, а затем пойдут ответы от контроллера домена сети главного офиса.
  5. Выполните подобную процедуру на контроллере домена сети главного офиса, но в этот раз проверьте адрес 10.0.1.2 – адрес компьютера REMOTEHOST.

Результаты запросов представлены на Рисунке 15:

Если вы просмотрите файлы журналов ISA-сервера филиала, вы увидите такие подобные строки (Рисунок 16).

Теперь откройте вкладку Sessions (Сессии) ISA-сервера филиала. Вы увидите активную сессию, представляющую VPN-соединением. Обратите внимание на фильтр, указывающий на соединение.

Подобные проверки вы можете выполнить на ISA-сервере главного офиса.

По сути на этом настройка закончена.

Дальше наверно уже не имеет смысла писать про настройку Isa2006, так как вышел продукт TMG, соответственно по мере моего изучения данного продуктя буду писать про него.

Всем удачи!

10.06.2010 Posted by | ms isa 2006 | Комментарии к записи Создание VPN по схеме Site-to-Site с помощью Мастера настройки соединения с филиалом сервера ISA 2006 (Часть 14). отключены